Just-In-Time-Administration (JIT)

Sichere Benutzerkonten in Windows Server 2016

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Je größer ein Active Directory ist, desto sinnvoller ist der Einsatz einer sicheren Verwaltungsumgebung.
Je größer ein Active Directory ist, desto sinnvoller ist der Einsatz einer sicheren Verwaltungsumgebung. (© Igor Stevanovic- Bits And Splits - stock.adobe.com)

Mit Privileged Account Management (PAM), Just-In-Time-Administration (JIT) und Just Enough Administration (JEA) können Unternehmen unter Windows Server 2016 sicherstellen, dass die Administratorkonten nicht für Angriffe auf das Netzwerk verwendet werden können, und nur die notwendigen Sicherheitsberechtigungen genau für den Zeitpunkt erhalten, der notwendig ist.

Windows Server 2016 ermöglicht mit Privileged Account Management (PAM) und Just-In-Time-Administration (JIT) eine temporäre Vergabe von Benutzerrechten. Das stellt sicher, dass es keine Benutzerkonten mit erhöhten Rechten gibt, die aktuell für eine Administrator-Aufgabe nicht notwendig sind.

In vielen Unternehmen werden Sicherheitsempfehlungen von Microsoft bezüglich der Benutzerkonten kaum beachtet. So sollen zum Beispiel die Domänen-Administrator-Konten nur zur Anmeldung auf einem Domänencontroller verwendet werden, weder für andere Server, noch für Arbeitsstationen. Wird das Konto eines Domänen-Administrators kompromittiert, hat der Angreifer Zugriff auf nahezu das komplette Netzwerk. Ein solcher Fall sollte unbedingt ausgeschlossen werden.

Dazu kommt ein weiteres Problem: Erhält ein Konto erhöhte Rechte, werden diese Rechte in den meisten Fällen nicht wieder zurückgenommen, sondern das Konto behält diese Rechte. Auch das ist ein Sicherheitsproblem. Microsoft empfiehlt auch hier die Rechte möglichst schnell wieder zu entfernen.

Just-In-Time in Windows Server 2016

In Windows Server 2016 hat Microsoft JIT direkt integriert. Unternehmen bauen ein so genanntes „Bastion Active Directory“ auf. In diesem AD sind die Benutzerkonten mit erhöhten Rechten isoliert. Zusammen mit einer neuen Vertrauensstellung zwischen Bastion AD und dem herkömmlichen AD, lassen sich Benutzerkonten und deren Rechte wesentlich leichter delegieren.

Durch die Verwendung von PAM müssen Administrator-Benutzer erhöhte Rechte für eine Administratoraufgabe anfordern. Erst wenn die Anfrage genehmigt wurde, erhält der Anwender das Recht auf den Zugriff mit einem Schatten-Konto aus dem Bastion-AD. Nach Ablauf einer bestimmten Zeit werden die Rechte wieder entzogen. Ohne ein solches Bastion-AD kann daher PAM in Windows Server 2016 nicht genutzt werden.

Dazu kommt die temporäre Mitgliedschaft in Sicherheits-Gruppen, die Rechte erhält Verwaltungsaufgaben durchzuführen. Auch diese Gruppen sind im Bastion-AD positioniert. Die Berechtigungen laufen über Kerberos-Tickets. Kerberos ist daher die Grundlage für das PAM- und JIT-Modell in Windows Server 2016.

Zusammen mit PAM, dem Microsoft Identity Manager 2016 (MIM) und dem neuen Bastion Active Directory Forest stehen auch Shadow Groups in Windows Server 2016 zur Verfügung. Diese verfügen über administrative Rechte, jedoch ist die Mitgliedschaft zeitlich begrenzt. Dazu wird der TTL von Kerberos-Tickets verringert, und die Gruppe überwacht. Die Zeitdauer lässt sich von Minuten, über Stunden, bis hin zu Monaten steuern, ist jedoch niemals unendlich.

Das bedeutet aber auch, dass nur Anwendungen und Verwaltungsaufgaben mit PAM und JIT in Windows Server 2016 genutzt werden können, die Kerberos unterstützen.

Just Enough Administration (JEA)

Die Gesamtstruktur mit den Administratorkonten, also der „Bastion Active Directory Forest“ wird durch den Microsoft Indentity Manager zur Verfügung gestellt, überwacht und gesteuert. Diese Lösung ist für den Einsatz von PAM und JIT in einem Microsoft-AD notwendig. Bei dieser Technik wird eine neue Active Directory-Gesamtstruktur mit MIM erstellt, und mit PAM geschützt. Um PAM mit Windows Server 2016 zu nutzen, sind also mindestens zwei Active Directory-Gesamtstrukturen notwendig.

In sicheren AD-Umgebungen arbeiten Administratoren also nicht mit Administratorkonten in der Active Directory-Umgebung, sondern erhalten einen Zugang mit Just Enough Administration (JEA). Dazu wird eine Gruppe an CMDlets in der PowerShell definiert sowie eine genaue Zielgruppe an Objekten, die für einen bestimmten administrativen Vorgang nötig sind.

Auch die Zeitdauer für diese Rechte lässt sich über JEA steuern. Sobald der Zeitraum abgelaufen ist, kann der Zugang nicht mehr für die Administration genutzt werden, auch nicht für den fest definierten Zielbereich. Microsoft erklärt die Vorgehensweise in der TechNet genauer.

Einbinden der Cloud mit Microsoft Azure Active Directory

Mit Microsoft Azure AD PIM lassen sich auch lokale AD-Strukturen sicher betreiben.
Mit Microsoft Azure AD PIM lassen sich auch lokale AD-Strukturen sicher betreiben. (Bild: Th. Joos)

Zusammen mit Microsoft Azure Active Directory Premium kann Microsoft Identity Manager mit gebucht werden. Das erlaubt die Ausdehnung dieser sicheren Authentifizierungsumgebung in die Cloud. MIM kann wesentlich mehr als JEA, PAM und JIT im Netzwerk umsetzen. Benutzerkonten lassen sich zwischen verschiedenen Gesamtstrukturen und der Cloud synchronisieren.

Auch die Verwaltung von Zertifikaten sowie Self-Service-Aufgaben sind umsetzbar. Dazu kommt das Management von Smartcards sowie die Möglichkeit Kennwörter automatisiert zurückzusetzen. Im Fokus steht der komplette Lebenszyklus von Benutzerkonten sowie deren Rechte. Neben Active Directory und Microsoft Azure wird auch Office 365 unterstützt. Unternehmen die neben Active Directory auch noch auf andere Dienste von Microsoft setzen, sollten daher den Einsatz von MIM in Erwägung ziehen.

Fazit

Administratoren von Active Directory-Umgebungen sollten sich mit den Themen Just Enough Administration (JEA), Privileged Account Management (PAM) und Just-In-Time-Administration (JIT) auseinandersetzen und den Einsatz einer solchen Lösung prüfen. Umso größer ein Unternehmen und damit ein Active Directory ist, desto sinnvoller ist der Einsatz einer sicheren Verwaltungsumgebung. Aus diesem Grund ist die Migration zu Windows Server 2016 durchaus gerechtfertigt, da dadurch die Sicherheit in Netzwerken enorm erhöht werden kann.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44858875 / Client-/Server-Administration)